ISO27001 信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分：BS7799-1，信息安全管理实施规则BS7799-2，信息安全管理体系规范。第一部分对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用；第二部分说明了建立、实施和文件化信息安全管理体系（ISMS）的要求，规定了根据独立组织的需要应实施安全控制的要求。

ISO/IEC27001对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用。该标准为开发组织的安全标准和有效的安全管理做法提供公共基础，并为组织之间的交往提供信任。

信息安全管理体系标准指出“象其他重要业务资产一样，信息也是一种资产”。它对一个组织具有价值，因此需要加以合适地保护。信息安全防止信息受到的各种威胁，以确保业务连续性，使业务受到损害的风险减至最小，使投资回报和业务机会最大。

信息安全是通过实现一组合适控制获得的。控制可以是策略、惯例、规程、组织结构和软件功能。需要建立这些控制，以确保满足该组织的特定安全目标。

上述公司认为企业达到了CMM标准就足以应付这些问题，可事实上CMMI 无法使其摆脱这些问题所带来的困扰。在经过一段时间探试和研究后，该公司采用了ISO27001 标准。

ISO27001 标准是由英国标准协会（British Standards Institution, BSI ）针对信息安全管理方面而制定的，最初源于英国标准BS7799，经过十年的不断改版，终于在2005年被国际标准化组织发布为正式的国际标准，用于组织 的信息安全管理体系的建立，保障组织的信息安全，采用相关指定方法，基于风险评估的风险管理理念，全面系统地持续改进组织的安全管理。是目前世界上唯一的 信息安全管理标准，已被全球五千多家政府机构和**企业所采用。如今是否通过ISO27001认证在某些行业中，已经成为一些客户的要求条件之一。目前除 英国外，还有荷兰、丹麦、澳大利亚、巴西等国已同意使用该标准；日本、瑞士、卢森堡等国也表示对 ISO27001 标准感兴趣；我国的台湾、香港也在推广该标准。许多国家的政府机构、银行、证券、保险公司、电信运营商、网络公司及许多跨国公司已采用了此标准对自己的信 息安全进行系统的管理。这套标准注重体系的完整性，强调对法律法规的符合性，并且可与ISO9000 标准有很强的兼容性。

公司可通过ISO27001体系建设和实施，建立了完备的信息安全管理体系，为公司各项安全相关活动提供了明确的目标和操作指南。同时，通过系统的方法建立 起组织保障体系，具备了信息安全风险驾驭能力，保证了公司核心业务的可持续运行。通过把ISO27001 的要求引入业务流程，使现有的业务运作更加安全规范，全面提升了公司本身和客户信息资产的安全度，尤其是加强了对客户知识产权和商业秘密的保护，提高了对 客户信息安全的保障水平。不仅如此，在公司通过ISO27001标准认证过程中，强化员工的信息安全意识，规范组织信息安全行为，在信息系统受到侵袭时， 仍然可以确保业务持续开展并将损失降到最低程度。